Supply Chain: Wie sicher Ihre Software-Lieferkette ist

So schützen Sie Ihre Software-Lieferketten effektiv vor Cyber-Angriffen

Lieferketten für Software haben sich zu einer gefährlichen Schwachstelle in Unternehmen entwickelt, über die Angreifer ins Firmennetz eindringen. Doch es gibt auch in der aktuellen Lage Maßnahmen, die gegen Attacken auf die Supply Chain helfen.

Lange Zeit haben sich nur wenige Spezialisten für Probleme mit der Sicherheit der Supply Chain beziehungsweise der Software-Lieferketten in Unternehmen interessiert. Zu einem ersten großen Weckruf kam es nach der Cyberattacke auf die IT-Sicherheitsfirma FireEye Ende 2020. Die Angreifer konnten über einen automatischen Update-Mechanismus in die Systeme des Unternehmens eindringen. Zuvor hatten sie die Orion-Plattform des IT-Service-Spezialisten SolarWinds kompromittiert. Das Sunburst genannte Problem lag damit nicht direkt bei FireEye, sondern beim Software-Lieferanten des Konzerns. Dieser hatte die vorhandenen Sicherheitslücken nicht rechtzeitig gefunden und geschlossen.

Man rechnet damit, dass 18.000 der damals etwa 35.000 Firmen und Behörden, die mit der Orion-Plattform arbeiteten, dieser Attacke zum Opfer fielen. Wie groß der Schaden aber tatsächlich war, weiß bis heute niemand. Moderne Software gilt mittlerweile als komplexes Ökosystem, das kaum noch jemand überblickt. Die Zeiten, in denen kleine Teams oder Einzelkämpfer eine Anwendung allein entwickeln und auf den Markt bringen konnten, sind längst vorbei. Stattdessen verlassen sich Programmierer heute oft auf fremde Frameworks, Bibliotheken und andere Komponenten von Dritten, um bestimmte Funktionen mit weniger eigenem Aufwand umzusetzen.

Warum Dritthersteller-Software die Angriffsflächen potenziert

Das vergrößert die potenzielle Angriffsfläche jedoch erheblich. Nahezu jede heutzutage in Unternehmen genutzte Software hängt in irgendeiner Form von anderen Bestandteilen ab. Wie kritisch die Lage ist, wurde vielen Ende 2021 noch einmal vor Augen geführt, als die Sicherheitslücke in der Logging-Software Log4j bekannt wurde. Die Nachricht schlug sprichwörtlich wie eine Bombe ein. Manche Beobachter befürchteten schon, dass nun das „Internet in Flammen“ stehe. So schlimm kam es zunächst aber nicht, viele Admins hatten in der Folge aber sprichwörtlich alle Hände voll zu tun.

In vielen Fällen wusste niemand so genau, wo Log4j überall zum Einsatz kam. Die Software wurde ja nicht nur in direkt eingebundenen Komponenten genutzt, sondern auch in Unter- und Unterunter-Komponenten. In den vergangenen Jahren entstand in zahlreichen Firmen ein Software- und Service-Wildwuchs, der nun zu massiven Problemen führt. So lässt sich die in Log4j gefundene Zero-Day-Lücke missbrauchen, um fremden Code auf dem betroffenen System auszuführen. Die Auswirkungen einer solchen Lücke können verheerend sein, Lecks dieser Art ermöglichen den Diebstahl vertraulicher Informationen. Außerdem können Eindringlinge Daten heimlich manipulieren oder löschen, Malware beziehungsweise Ransomware einschleusen sowie Rechenleistung zum Schürfen von Krypto-Währungen abzwacken.

Zu den betroffenen Firmen gehören auch große Cloud-Anbieter wie Amazon Web Services (AWS), die iCloud-Dienste von Apple sowie die Spieleplattform Steam. Nicht auszudenken, was geschehen wäre, wenn sie zur Verbreitung manipulierter Updates missbraucht worden wären. Bei SolarWinds war genau dies der Fall. Ebenso wie bei diesem Cyberangriff lässt sich der durch die Lücke in Log4j angerichtete Schaden noch nicht abschätzen. Sicherheitsexperten gehen aber davon aus, dass die Schwachstelle in vielen Fällen verwendet wurde, um heimlich eine Hintertür zu installieren, die erst zu einem späteren Zeitpunkt in aller Ruhe ausgenutzt wird. Also erst dann, wenn sich die Wogen längst wieder geglättet haben.

„Als deutscher Hersteller mit unserer Entwicklungsabteilung in Nürnberg stehen wir zuverlässig für ‚Made in Germany‘ und bieten Kunden dadurch auch bei künftigen Veränderungen im Weltgeschehen Zukunftssicherheit und Unabhängigkeit“, erläutert Patrick Oliver Graf, CEO & Geschäftsführer bei NCP.

 

Wie die „Software Bill Of Materials“ verwundbare Versionen aufdeckt

Die genannten Beispiele bilden nur die Spitze des Eisbergs. So weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ (PDF) darauf hin, dass „viele Hersteller nur mit sehr viel Mühe feststellen können, welche Bibliotheken und andere Dritthersteller-Software in ihren Produkten eingesetzt werden“. Diese aufwendigen Analysen würden jedoch viel Zeit kosten.

Experten arbeiten deshalb zusammen mit internationalen Partnern an der Entwicklung von strukturierten Materiallisten für Software, auch „Software Bill Of Materials“ (SBOM) genannt. Diese sollen in Zukunft alle Abhängigkeiten einer bestimmten Software auflisten. Damit seien effiziente Überprüfungen möglich, um herauszufinden, „ob eine bekannte Schwachstelle ein Produkt betrifft“.

Obwohl zunächst vor allem Unternehmen und auch Endkunden von einer solchen SBOM profitieren, nennt das BSI bewusst auch die Hersteller der Produkte als Nutznießer. Sie müssten „in ihren Lieferketten prüfen, ob sie eine bestimmte verwundbare Version einer Software einsetzen“. Auf dieser Basis ließen sich dann geeignete Gegenmaßnahmen einleiten, wenn eine Sicherheitslücke in einer der verwendeten Komponenten entdeckt wird. Zusammen mit dem Common Security Advisory Framework (CSAF) könne dies auch automatisiert erfolgen, schreibt das BSI.

Wieso strukturierte Materiallisten bei US-Behörden bereits Pflicht sind

Die Vereinigten Staaten gehen bereits einen Schritt weiter: Dort müssen SBOMs aufgrund einer im Mai 2021 erlassenen Executive Order des Weißen Hauses von allen Softwareanbietern vorgelegt werden, die ihre Produkte an US-Behörden verkaufen wollen. Laut einem Bericht des auf die Absicherung der Supply Chain spezialisierten Herstellers Anchore will in diesem Jahr bereits jeder dritte Anbieter diese Vorgaben erfüllen. Das würde sich vermutlich auch positiv auf die Situation in anderen Ländern auswirken.

Immerhin sollen 2021 schon 62 Prozent aller befragten Firmen Opfer eines solchen Lieferkettenangriffs geworden sein, schreibt Anchore in der Studie „2022 Software Supply Chain Security Report“ (PDF). Nach Ansicht des Unternehmens sind daher SBOMs eine „kritische Komponente in der Sicherheit der Software-Lieferketten“. Eine solche strukturierte Materialliste biete Einblicke in die Software-Bestandteile und sei zugleich die Grundlage für das Verständnis von Schwachstellen und Risiken. Unter dem Strich führt somit kein Weg mehr daran vorbei.

Fazit

Die Ausführungen zeigen, dass Unternehmen und Behörden aufgrund der Lieferkettenproblematik einen erhöhten Sicherheitsbedarf haben. NCP steht Ihnen dabei hilfreich zur Seite.
„Als deutscher Hersteller mit unserer Entwicklungsabteilung in Nürnberg stehen wir zuverlässig für ‚Made in Germany‘ und bieten Kunden dadurch auch bei künftigen Veränderungen im Weltgeschehen Zukunftssicherheit und Unabhängigkeit“, erläutert Patrick Oliver Graf, CEO & Geschäftsführer bei NCP.

Sie haben Fragen? Zögern Sie nicht, uns zu kontaktieren.